Des chercheurs de l’université de Princeton se sont penchés sur des scripts capables d’extraire des identifiants depuis les formulaires d’authentification à travers les gestionnaires de mots de passe intégrés aux navigateurs. L'une des entreprises concernées, Adthink, nous a répondu à ce sujet.
Gunes Acar, Steven Englehardt et Arvind Narayanan font partie du Center for Information Technology Policy de l’université de Princeton. Ils connaissent bien les attaques de type XSS (cross-site scripting), qui existent depuis plus d’une décennie. Mais au-delà des risques en matière de sécurité, le principe pose également un problème pour la vie privée quand il est exploité par certaines entreprises, notamment dans le domaine publicitaire.
Les chercheurs ont analysé en particulier deux scripts d'Adthink et OnAudience. Intégrés dans une page web, ils placent des formulaires invisibles d’authentification, destinés à faire réagir les gestionnaires de mots de passe natifs des navigateurs. De là, les scripts extraient l’identifiant, souvent une adresse email, et peuvent même (en théorie) récupérer les mots de passe.
À la clé un suivi très précis des habitudes de navigation à travers l'ensemble des sites utilisant le même script.
Fonctionnement du mécanisme
Le principe général se base sur les gestionnaires de mots de passe intégré aux navigateurs, pas ceux utilisés sous la forme d'une extension. Chrome, Edge, Firefox, Opera ou Safari possèdent cette fonctionnalité, que les utilisateurs affectionnent particulièrement. Et pour cause : elle évite d’avoir à se rappeler des mots de passe qui, idéalement, sont complexes à écrire et uniques à chaque service visité.
Adthink et OnAudience sont des scripts que les concepteurs de sites peuvent intégrer directement dans leurs pages. Ils ne sont alors pas considérés comme de tierces parties. Ils appellent un formulaire d’authentification associé au domaine principal, provoquant une action du gestionnaire intégré de mots de passe, qui remplit alors les champs proposés.
Dans leur page de démonstration, les chercheurs prouvent leurs dires : l'identifiant et le mot de passe peuvent être récupérés. Pour le second, seul Chrome réclame une action supplémentaire, sous la forme d'un simple clic n'importe où sur la page.
Les scripts créent une empreinte (hash) de l’identifiant, généralement un pseudo ou une adresse email. Or, dans ce dernier cas, l’internaute utilise très souvent la même et n'en change que très rarement. De fait, le hash d’une adresse devient une information fiable pour bâtir un profil de navigation. Ce dernier ne peut bien sûr se construire qu'à travers les sites utilisant les scripts d'un même acteur.
Le comportement des navigateurs
Tous les navigateurs considèrent les scripts comme des éléments intégraux des sites web visités, puisque le code est directement présent dans celui des pages. Les protections mises en place contre les éléments tiers ne fonctionnent donc pas.
Comme le soulignent les chercheurs, les navigateurs sont ici ballotés entre la sécurité et la facilité d'utilisation. Le consensus est de faire confiance aux éléments intégrés de premier niveau, et de faire plus attention aux contenus tiers appelés par les pages, notamment via des iframes. Certaines protections existent, mais elles dépendent des développeurs web, comme l’attribut HTTPOnly, bloquant l’accès des scripts aux cookies définis comme critiques pour la sécurité.
Cela étant, le comportement des navigateurs n’est pas le même sur le remplissage automatique. Chrome par exemple remplit l’identifiant, mais pas le mot de passe, à moins que l’utilisateur ne déclenche lui-même l’action. Firefox et les autres remplissent ce champ sans interaction. Ce qui donne une éventuelle piste de solution.
Les chercheurs insistent : le concept n’a rien de nouveau dans le fond, mais l’utilisation pour des scripts liés au profilage – et donc à la publicité – est plus récente. En tant que telle, elle pose un souci potentiel de sécurité, et très clairement de respect de la vie privée.
Adthink évoque un script expérimental
Adthink, l'une des deux entreprises abordées par les chercheurs, est justement française. Jonathan Métillon, directeur de l'innovation et de la communication, nous a ainsi expliqué que le script en question « était expérimental et est d'ailleurs déjà désactivé. Il avait été mis en place par des personnes qui ne travaillent plus chez nous ».
Le responsable nous affirme surtout que ce script ne comptait que « pour une infime fraction des données que l'on reçoit. Nous faisons surtout de la consolidation de profil sur la base des données que nos clients nous envoient spontanément ». Interrogé sur les catégories parfois très personnelles d'informations prises en charge (âge, taille, poids, adresse, identité sexuelle et autre), il nous indique que les scripts d'Adthink sont tout simplement « utilisés chez une grande variété de clients, dont des sites de rencontres ».
Jonathan Métillon insiste : « Nous n'avons pas de données personnelles. Nous ne possédons que des hashs d'adresses email, pas les adresses elles-mêmes ». La CNIL considère néanmoins tout identifiant unique, comme l'empreinte d'une adresse email, comme une donnée à caractère personnelle. Il confirme cependant que même si le script en question a été retiré et qu'il ne récupérait pas le mot de passe, « l'opération est tout à fait possible, et entre de mauvaises mains, ce genre de technique pourrait fait des dégâts ».
La finalité de ces profils se devine aisément : le ciblage publicitaire. Le directeur nous certifie que tout client utilisant ses scripts doit l'indiquer dans ses conditions d'utilisation et fournir un opt-out, en application des recommandations de la CNIL. Par ailleurs, Adthink travaille actuellement à se mettre en conformité avec les futurs RGPD et ePrivacy, qui doivent tous deux prendre effet en mai.
Des solutions immédiates et d'autres à venir
Mais même en comptant le retrait du script, le choix d'Adthink ne peut pas être généralisé à tous les acteurs. Comme l'indiquent les chercheurs, il ne s'agit que de deux scripts parmi d'autres. D'ailleurs, représentent-ils l’avenir du ciblage publicitaire ? Pas si sûr.
Pour contourner ce problème, le changement le plus « simple » à introduire pour les navigateurs serait de casser le remplissage automatique, par exemple en proposant une fonction qui nécessite un clic avant que les données ne soient affichées dans les champs correspondants. Du point de vue de l'utilisateur, la mesure passerait sans doute mal, tant les éditeurs cherchent à réduire les frictions, mais elle aurait le mérite d'être plus protectrice.
À plus longue échéance, l’API Credential Management en préparation au W3C pourrait elle aussi résoudre le souci, puisqu’elle adopte le même comportement que décrit précédemment : une action de l’utilisateur est requise. L’interface n’en est cependant qu’au statut de brouillon et il faudra encore que les navigateurs l’implémentent quand elle sera prête, ce qui aurait le mérite de rationaliser les usages.
Notez à ce sujet que la situation ne concerne bien que les gestionnaires de mots de passe intégrés et non les tiers, disponibles à travers des extensions comme 1Password (qui a d'ailleurs réagi dans les commentaires du compte-rendu des chercheurs pour le signaler), Dashlane ou Lastpass.
Ces produits enregistrent bien les identifiants, mais nécessitent tous une action de l’internaute pour remplir les champs du formulaire. Si vous êtes d’ailleurs utilisateur de l’une de ces solutions, une mesure à prendre peut être de couper le gestionnaire intégré au navigateur, tous proposant cette option.
Le fond du problème : un pistage toujours plus intense de l’utilisateur
Pour le chercheur Arvind Narayanan, le cœur du souci réside dans le choix des scripts opéré par certains sites : « Ces problèmes apparaissent en partie parce que les opérateurs de sites web ont été négligents en intégrant des scripts tiers sans en comprendre les implications ». Des entreprises ou développeurs se seraient donc fait séduire par des prestataires vantant les mérites de solutions promettant un profilage toujours plus poussé des visiteurs.
Même si tout porte à croire que le comportement de ces scripts n’est pas dangereux dans le sens « sécurité » du terme (du moins tant qu'ils se contentent de l'identifiant et ne récupèrent pas les mots de passe), ils ont un impact potentiel sur la vie privée. Le cas est à replacer dans un contexte plus global de réflexion sur la publicité et le ciblage précis des internautes qui l’accompagne, et la question du consentement.
Les actualités dans ce domaine sont particulièrement nombreuses depuis quelques mois, avec par exemple Mozilla, les approches différentes d'Apple et Google, ou encore nos propres choix en la matière. Trop nombreux sont encore les sites à se baser sur des méthodes ayant un point commun : elles cherchent à obtenir des données quitte à « tricher ».
On entend ici par tricherie la récupération d’informations que l’utilisateur n’aurait pas données de lui-même, ou pour lesquelles il n’a pas donné son accord. Le comportement de ces scripts n’est guère différent dans l’absolu de ceux abordés le mois dernier, qui permettaient pour rappel à des sites d’enregistrer toutes les frappes au clavier. Bien évidemment sans le consentement de l'internaute, et sans le prévenir.
